Juridiska Krav vid Anlitande av Hackers: Guide för Företag (2025)

CyberLord Legal Team

Juridiska Krav vid Anlitande av Hackers: Guide för Företag (2025)

Att beställa ett Penetrationstest (etisk hacking) är ett av de mest ansvarsfulla beslut en IT-chef eller VD kan ta 2025. Det visar att ni tar kundernas säkerhet på allvar.

Men processen är inte riskfri.

Att ge någon "nycklarna" till ert digitala kungarike, eller snarare tillåtelse att dyrka upp låsen, kräver ett vattentätt juridiskt ramverk. Utan rätt papper kan ni oavsiktligt bryta mot GDPR, Brottsbalken eller era avtal med hosting-leverantörer.

Här är Cyberlords guide till de juridiska kraven för svenska företag.

1. Letter of Authorization (LoA) – Det viktigaste dokumentet

Enligt svensk lag (Brottsbalken 4 kap. 9 c §) är dataintrång ett brott. Det finns inget undantag i lagen som säger "det är okej om man menar väl".

Enda sättet att göra intrånget lagligt är Samtycke.

Ett Letter of Authorization (även kallat Permission to Test) är ett dokument där ni som systemägare uttryckligen ger hackern tillstånd att attackera specifika IP-adresser under en specifik tidsperiod.

Vad måste ingå?

  • Exakt omfattning: Lista alla domäner och IP-adresser. (Missar ni en IP och hackern attackerar den, är det ett brott).
  • Tidsfönster: T.ex. "Från 1 feb kl 08:00 till 5 feb kl 17:00".
  • Undantag: Vad får INTE röras? (T.ex. "Krascha inte produktionsdatabasen").
  • Kontaktpersoner: Vem ska hackern ringa om de hittar en kritisk lucka klockan 03:00 på natten?

Detta dokument är hackerns "Get Out of Jail Free"-kort. Utan det bör ingen seriös firma starta uppdraget.

2. GDPR och Personuppgiftsbiträdesavtal (PUB)

Detta är den vanligaste fällan för svenska företag.

Under ett penetrationstest kan konsulten råka komma över personuppgifter.

  • En SQL Injection kan avslöja hela kundregistret.
  • Ett mail-test kan visa anställdas privata meddelanden.

I lagens ögon innebär detta att säkerhetsfirman blir ett Personuppgiftsbiträde.

Krav: Enligt GDPR (Dataskyddsförordningen) måste ni teckna ett Biträdesavtal (DPA - Data Processing Agreement) innan testet börjar. Avtalet ska stipulera att hackern:

  1. Har tystnadsplikt.
  2. Endast får behandla data enligt era instruktioner.
  3. Måste radera all data (screenshots, databasedumps) när uppdraget är slutfört.
  4. Måste skydda datan (kryptering) under tiden den finns på deras datorer.

Missar ni detta, kan IMY (Integritetsskyddsmyndigheten) utfärda sanktionsavgifter för att ni släppt in en "okänd" part i era register.

3. Sekretessåtagande (NDA)

Ett standardiserat NDA (Non-Disclosure Agreement) är en självklarhet. Men inom säkerhet måste det vara extra strikt.

Hackern kommer att veta era svagheter. De vet exakt var "bakdörren" finns.

  • Vite: Avtalet bör innehålla ett kännbart vite (t.ex. 500 000 kr) vid brott mot sekretessen.
  • Livslängd: Sekretessen bör gälla för evigt, inte bara i 2 år.

4. Tredje Part (Hosting & SaaS)

Äger ni verkligen servrarna? Förmodligen inte. Ni hyr dem av Amazon (AWS), Microsoft (Azure), Google (GCP) eller en svensk leverantör som Binero/Loopia.

Får ni hacka dem?

  • Molnjättarna (AWS/Azure): De har generella tillstånd för vanliga penetrationstester, men förbjuder ofta DoS (Denial of Service) attacker som kan sänka andra kunder i samma serverhall. Läs deras "Penetration Testing Policy".
  • Svenska Webbhotell: Ni måste ofta meddela dem i förväg. Om er hacker börjar skanna portar aggressivt, kommer webbhotellets automatiska brandväggar (IPS) att blockera IP-adressen och tro att de är under attack. Detta kan störa driften för er och andra.

Råd: Informera alltid er hosting-leverantör innan testet startar.

5. Ansvarsförsäkring

Hacking är ingen exakt vetenskap. Ibland går saker sönder. En nätverksskanning kan få en gammal skrivare att starta om. En exploit kan krascha en databas.

Om er e-handel ligger nere i 4 timmar under Black Friday pga testet – vem betalar?

  • Frilansare: "Hoppsan, sorry." (Har sällan pengar att ersätta er).
  • Professionell Firma (Cyberlord): Vi har Konsultansvarsförsäkring som täcker skador upp till miljonbelopp.

Kräv alltid att få se bevis på gällande ansvarsförsäkring innan ni skriver på.

Checklista för IT-chefen

Innan ni trycker på "Start":

  1. Behörighet: Är vi säkra på att vi äger systemet som ska testas?
  2. LoA: Är tillståndsdokumentet påskrivet av firmatecknare?
  3. GDPR: Är PUB-avtal på plats?
  4. Hosting: Har vi kollat med vår driftleverantör?
  5. Backup: Har vi tagit en färsk backup innan testet börjar? (Om något kraschar).

Sammanfattning

Att anlita en etisk hacker ska vara en trygg process. Genom att ha juridiken på plats skyddar ni företaget inte bara mot hackers, utan även mot böter och tvister.

Cyberlord integrerar vi dessa juridiska steg i vår "Onboarding"-process. Vi ser till att alla papper är i ordning så att ni kan fokusera på resultatet: Ett säkrare företag.

Kontakta oss för offert & avtalsförslag

Översikt

Viktiga beslut, risker och genomförandeåtgärder för detta ämne.